È sicuro collegare la chiavetta USB di uno sconosciuto?

Le chiavette USB restano ancor oggi tra i dispositivi più utilizzati per memorizzare dati e portarli sempre con sé.
Sebbene ormai siano disponibili unità SSD portatili ultracompatte, molto veloci ed estremamente capienti, le chiavette USB restano sempre attuali anche perché sono pratiche e decisamente economiche.

Le chiavette USB sono purtroppo anche oggetti molto amati dai criminali informatici che possono sfruttarle per guadagnare l’accesso alle reti aziendali di obiettivi di primo piano.
Ormai si pensa che gli attacchi informatici possano provenire solo dalla rete Internet; in realtà aggressioni meno tradizionali possono sfruttare USB malevoli per far breccia nell’infrastruttura di un’impresa.

Sono tutt’altro che infrequenti i casi di aziende che sono state oggetto di attività di spionaggio e di veri e propri attacchi che hanno messo a repentaglio la riservatezza e l’integrità dei dati a causa del semplice collegamento di dispositivi USB malevoli da parte del personale.

Si pensi alle chiavette USB trovate in luoghi pubblici: un cybercriminale può predisporre il dispositivo di memorizzazione in maniera tale da aggredire l’utente che lo collegherà al suo PC e le reti al quale il computer viene collegato.
Nell’ormai famoso caso Stuxnet delle chiavette USB infette furono lasciate cadere di proposito in un parcheggio con la speranza che un impiegato della vicina impresa le inserisse in un computer. Lo stratagemma ebbe successo e ancora oggi questi sistemi sono utilizzati per aggredire le realtà aziendali.

Attacco USB drop: cos’è e come funziona

Sebbene a una prima occhiata una chiavetta USB sembri un dispositivo rassicurante, che non contiene alcuna insidia, in realtà esiste un ampio ventaglio di attacchi – complessivamente chiamati USB drop – che ne fanno uso:

• Presenza di codice malevolo: nel più elementare degli attacchi USB drop l’utente clicca su uno dei file presenti all’interno della chiavetta. Questo provoca il caricamento di codice malevolo che può scaricare ulteriore malware da Internet e avviare movimenti laterali per diffondersi automaticamente nella rete locale (con la possibilità per gli aggressori di ricevere credenziali, documenti riservati, informazioni personali,…).
• HID (Human Interface Device) spoofing. In questo caso il dispositivo che a una prima occhiata sembra una normale chiavetta USB è stato programmato in modo tale da apparire al sistema operativo come un dispositivo di input (i.e. tastiera). Quando la chiavetta USB viene collegata al PC vengono attivate sequenze di tasti che permettono di consegnare a un aggressore remoto il controllo del sistema oppure, ancora, viene disposta l’attivazione di un keylogger che memorizza e trasferisce a terzi quanto digitato dall’utente.
• Sfruttamento di falle zero-day. Alcuni aggressori particolarmente organizzati fanno in modo che l’inserimento della chiavetta USB provochi lo sfruttamento di una falla zero-day e l’esecuzione di codice arbitrario.
• USB killer. Viene chiamato così un dispositivo che assomiglia a una tipica chiavetta USB ma è progettato specificamente per distruggere qualsiasi sistema al quale viene collegato. Le chiavette USB killer utilizzano condensatori di grande capacità in grado di scaricare addirittura 240 V, abbastanza per danneggiare permanentemente il computer o lo smartphone.

Se trovate una chiavetta USB per strada o in un parcheggio non affrettatevi a collegarla con un PC o un altro dispositivo: potreste rischiare di compromettere il funzionamento del vostro computer, la riservatezza dei dati in esso memorizzati o addirittura mettere in pericolo l’intera rete dell’azienda.

Il proprietario di un telefono perso di solito chiama lo smartphone per verificare se qualcuno l’avesse trovato oppure si serve di uno strumento come Trova il mio telefono per stabilirne la posizione e provare a recuperarlo.
Al contrario l’unico modo per individuare il proprietario di una chiavetta smarrita è quello di collegarla a un computer e vedere se ci sono indizi nel suo contenuto. Ciò perché molte persone che portano con sé le chiavette USB non cifrano il loro contenuto: ciò significa che le informazioni memorizzate sui dispositivi risultano facilmente e immediatamente accessibili.
Come regola generale è bene proteggere con la crittografia il contenuto delle unità USB in maniera che i dati in essa conservati non possano essere sottratti da parte di terzi; è inoltre indispensabile configurare backup dei supporti USB così da prevenire perdite di dati in caso di smarrimento e malfunzionamenti.

La tecnica USB drop è usata da alcune società di valutazione della sicurezza per testare la consapevolezza del personale. Uno studio accademico del 2016 ha rivelato che delle 297 chiavette USB lasciate cadere in un campus universitario il 98% di esse sono state trovate e raccolte; il 45% sono state collegate a qualche computer.

Non fate quindi i “buoni samaritani” se non siete sicuri che, innanzi tutto, la chiavetta USB trovata non possa essere potenzialmente fonte di problemi.
È possibile consegnarla alle autorità o se ci si trovasse in un esercizio commerciale lasciarla ovviamente alla cassa o in direzione. Sarebbe la fine della questione e vi sentireste bene con voi stessi.
Nel caso in cui si decidesse di verificare il contenuto della chiavetta, è opportuno aprirla per verificare che non contenga condensatori come quelli che si vedono in figura.

Per scongiurare qualunque rischio, dopo essersi accertati della “bontà” della chiavetta (la presenza di controller e di un chip di memoria flash facilmente identificabili – componenti numeri 2 e 4 nell’immagine successiva – dovrebbero tranquillizzare…), si dovrebbe eventualmente collegarla a un vecchio PC sprovvisto di hard disk, disconnesso dalla rete aziendale e da Internet e avviato utilizzando una distribuzione Linux. Soltanto a quel punto si potrà verificare il contenuto dell’unità USB.

L’immagine è tratta da questa presentazione.

In azienda è fondamentale istruire il personale sui rischi che può comportare la connessione di dispositivi USB provenienti da fonti sconosciute.

Se i dipendenti fossero negligenti si potrebbe anche considerare di bloccare fisicamente le porte USB sui computer sensibili per evitare eventuali attacchi.
In Windows si può anche valutare il blocco dei dispositivi di memorizzazione USB anche se la misura non protegge da attacchi HID spoofing e USB killer.

Una nuova policy che Microsoft ha introdotto ad agosto 2021 in Windows 10 e in Windows Server consente di stabilire quali dispositivi possono essere collegati ai PC aziendali.

Per prevenire anche gli attacchi provenienti dalle unità USB in azienda, l’utilizzo di una valida soluzione per la sicurezza degli endpoint permette di proteggere le singole workstation e l’intera rete dalla stragrande maggioranza dei rischi. Allo stesso modo sistema operativo e applicazioni dovranno essere mantenuti aggiornati con l’installazione delle patch di sicurezza per evitare lo sfruttamento di vulnerabilità zero-day.